Tags:América Latina, leis, LGPD, panorama, proteção de dados pessoais
Panorama: Leis de Proteção de Dados Pessoais na América Latina
Maria Lara Pires e Lahara Carneiro - 28/10/2019ID126 fez um mapeamento das leis que regulam a proteção de dados pessoais em território latino-americano
Maria Lara Pires e Lahara Carneiro
Atualmente o status online é permanente, e, no ambiente digital, a nossa identidade é constituída por dados. Eles têm se tornado um dos artigos mais valiosos do mundo, o que exige uma proteção maior desde sua captação até o uso e compartilhamento. A segurança dos dados pessoais é de responsabilidade do internauta que, ao concordar com os termos de uso e conceder tais tipos de informações, estabelece um acordo com as empresas que recebem e armazenam esses dados. Porém, esse acordo é descumprido constantemente, o que é visto pelos relatos frequentes de vazamentos de dados com vítimas que utilizam desde aplicativos de monitoramento do ciclo menstrual até correntistas de bancos.
Ao pesquisar vazamento de dados no Google , o ID126 foi surpreendido com até mais de 17 milhões de resultados em 18 páginas de pesquisa com notícias relacionadas ao tema. São vazamentos tão recorrentes em todo o mundo que perdemos até a dimensão do que significam as centenas de milhões dados e pessoas transformadas em números e cifrões. Por isso, o Avast, um dos mais populares antivírus gratuitos, listou em seu blog no início deste ano os últimos 10 maiores vazamentos de dados, apontando a falta de proteção dos bancos de dados e a necessidade de revisão e adequação à Lei Geral de Proteção de Dados Pessoais.
Segundo o Comitê Gestor da Internet no Brasil – CGI.br, cerca de 120 países já possuem leis gerais que tratam da proteção de dados pessoais. Mesmo sendo um dos países com maior influência política na America Latina, o Brasil possui uma das leis mais atrasadas. Na intenção de mostrar quando e como tem se desenvolvido as legislações latinoamericanas sobre o tema, ID126 fez um mapeamento do território.
Dados são informações que dizem algo sobre alguém ou até mesmo sobre outro algo. Mas, como essa definição é muito ampla, é necessário atribuir especificações que facilitem o tratamento dos dados em aspectos práticos, jurídicos e legais. Segundo o advogado Jeferson Conceição, dados pessoais são aqueles que podem ser usados por terceiros de forma discriminatória contra a pessoa física, como opções pessoais, religiosas ou políticas, enquanto os dados digitais tratam de informações mais amplas e gerais, por exemplo, a localização geográfica utilizada pelo GPS das empresas, operadoras de telefonia e internet.
Circula pela internet a comparação que expõe a importância dos dados e o interesse neles: os dados são o novo petróleo. Mas a grande diferença está justamente na finitude do ouro negro e na permanência dos dados, como apontou Ajay Banga, CEO da Mastercard, num evento realizado em São Paulo no meio deste ano. Além da conexão digital, os dados pessoais permitem uma personalização dos serviços e causam a sensação de proximidade, mesmo que através da tela de um celular ou notebook, por isso são tão desejados. Quando bem utilizados, trazem bons retornos financeiros e de relacionamento entre empresas e clientes, governos e cidadãos.
Após quase uma década de discussões, a Lei de proteção de dados entrará em vigor no Brasil. Somando propostas estaduais, que vinham tramitando paralelamente sobre o tema desde 2010, a escândalos internacionais, como o caso de quebra de privacidade do Facebook em 2016, formou-se um cenário favorável para a tramitação rápida de uma lei que garantisse segurança e intimidade aos usuários nos novos moldes de experiência digital. A Lei Nº 13.709/18 foi aprovada em agosto do ano passado e valerá a partir de fevereiro do ano que vem, com contagem regressiva de dias, horas, minutos e segundos – no site oficial – para o dia de vigência.
Entretanto, um novo Projeto de Lei visando adiar a vigência da LGPD para 2022 foi apresentado no dia 30 de outubro, atrasando em mais dois anos a proteção dos dados de cidadãos brasileiros. O autor da proposta, o deputado federal Carlos Bezerra (MDB-MT), se vale de uma pesquisa feita com 143 empresas que indicou que apenas 17% delas já possuem implementações em curso para se adequar ao novo marco jurídico. “Se nem mesmo as grandes corporações já estão preparadas para lidar com os desafios introduzidos pela LGPD, para as pequenas empresas o quadro certamente inspira ainda mais preocupação”, argumenta o deputado.
No ambiente corporativo, o termo Due Diligence é muito utilizado e se refere ao processo de busca de informações e análises, que no caso da LGPD pontua: 1- identificação e categorização dos dados (pessoal, sensível, criança, público, anonimizado); 2- departamentos e meios (físico ou digital); 3- operadores internos e externos para medir a exposição da empresa à lei. Esse é apenas um dos 12 principais pontos de medidas preventivas que já estão passando por atualizações mesmo sem estarem em vigência, porque o congresso revisitou a decisão e em julho deste ano foi aprovada pelo Presidente da República a Lei 13.853/19, com alguns vetos e mudanças significativas no Brasil. A tramitação da lei, projetos e ementas no Senado Federal podem ser acompanhadas através da busca pelo termo LGPD no Portal o Senado Federal.
- A lei prevê que a proteção de dados é de interesse nacional, evitando a proliferação de leis estaduais e municipais que venham tentar regular a matéria;
- Estabelece condições para os casos de compartilhamento de dados pessoais, constantes de bases nos órgãos do governo, para entidades privadas;
- Criação da Autoridade Nacional de Proteção de Dados (ANPD), órgão da administração pública federal, vinculada à Presidência da República, com autonomia técnica e decisória que pode se tornar autarquia [comandar a si mesmo] dentro de dois anos.
Como toda lei, a LGPD está suscetível a alterações e por isso é importante destacar o papel dos meios de comunicação. Uma das exigências é a elaboração de um plano de comunicação para que os órgãos fiscalizatórios (ANPD, Procon e Senacon) e a imprensa sejam avisados sobre incidente de segurança que provoque dano ou risco. Ao ser noticiado, a sociedade tomará conhecimento e as pessoas poderão acionar a lei em situações de uso indevido de seus dados pessoais.
A legislação considerada mais completa do mundo e referência para os demais países da America Latina, é a General Data Protection Regulation (GDPR), sistema que regula a proteção de dados na União Européia. Os países se veem estimulados a adequar suas leis às exigências do bloco europeu para que seus negócios não sejam prejudicados. O debate é antigo na UE, que possuía uma Diretiva unificando o tratamento de dados e o direito dos usuários em todos os seus países desde 1995, e em 2016 foi atualizada, se transformando na GDPR.
O Chile foi o primeiro país da America Latina a ter uma lei geral sobre proteção de dados, em 1999. Em janeiro de 2013 ela foi reformulada para se ajustar à GDPR, e atualmente possui duas agências: a da transparência e da proteção de dados. A lei regula a proteção e o processamento de dados pessoais; criou um conselho de proteção para que a lei seja cumprida e impõe multas de até US$ 700.000 e inclui dados biométricos na definição de dados sensíveis.
O Congresso argentino aprovou uma lei de proteção de dados pessoais em 2000, sendo um dos primeiros países da América Latina a ter uma legislação sobre o tema. Na intenção de se adequar a GDPR, a lei passou por discussões públicas e foi reformulada em 2018, incluindo em seu texto direitos e princípios que fizessem a União Européia considerar o país como de nível adequado na proteção de dados.
A Lei Federal Mexicana de Proteção de Dados Pessoais em Posse de Particulares está em vigor desde 2010 e rege o tratamento de dados pessoais, além da coleta e armazenamento. O Instituto Nacional de Transferência, Acesso a Informação e Proteção de Dados Pessoais – INAI possui a autoridade de proteção a dados mais ativa da América Latina, com disposições de segurança comparáveis a GDPR. Os detentores de dados têm direito a acesso, retificação, cancelamento ou oposição ao processamento de dados pessoais e estão cada vez mais conscientes disso. Entre 2012 e 2017, a INAI recebeu mais de 2 mil reclamações de titulares de dados, impondo cerca de US$ 16,7 milhões de dólares em sanções sobre empresas que operam no país.
Sua lei foi criada em 2012 e um ano depois, um decreto a reformulou. Ambos regulam a forma pela qual os direitos dos dados pessoais de colombianos devem ser protegidos, bem como as obrigações para os que coletam e administram os dados. Em 2014, outro decreto regulamentou o Registro Nacional de Bancos de Dados, um diretório público de informação que deve ser alimentado pelos sujeitos que coletam os dados pessoais.
O Peru tem uma regulação específica desde 2011 e um decreto supremo foi promulgado em 2013, proporcionando o marco normativo que regula os direitos e as obrigações aplicáveis ao tratamento de dados pessoais através de dois eixos principais: a proteção e garantia de um adequado exercício dos direitos do titular dos dados pessoais e o cumprimento de obrigações que deverão ser observadas pelas entidades que realizam tratamentos de dados pessoais. Uma reforma foi aprovada em 2017, incluindo uma nova classificação de descumprimentos e infrações em matéria de proteção de dados pessoais.
Na Bolívia, não existe uma lei específica, e os bolivianos dependem unicamente dos direitos da sua Constituição para proteger suas informações, a saber: direito da privacidade, intimidade, honra, sua própria imagem e dignidade.
Atualmente, a Comissão de Economia da Assembleia Legislativa de El Salvador está estudando a implantação de uma Lei do tipo no país. Dois projetos de lei foram apresentados em junho do ano passado. Os dois possuem muitas coincidências, mas diferem em pontos básicos como: quem será a entidade que protege os dados e como será o compartilhamento dessas informações com outros governos.
Não há lei de proteção de dados no Equador, mas ela se faz urgente. Em setembro deste ano os dados pessoais de, possivelmente, todos cidadãos equatorianos foram hackeados, inclusive o saldo de conta bancária. As informações estavam armazenadas numa rede na Flórida sem nenhum tipo de proteção. Cerca de 20,8 milhões de registros foram expostos, com 18 gigabytes de dados contendo informações como nome completo, gênero, naturalidade, endereço residencial, endereço de e-mail, números de telefone residencial, comercial e celular, estado civil, nível de educação, número da carteira de trabalho, informações salariais, data de início e de término do vínculo empregatício, além de registros de governo.
Na Costa Rica foi promulgada em 2011 a Lei Proteção da Pessoa Contra o Processamento de Seus Dados Pessoais, que vem sendo reformulada ao longo dos anos através de Decretos. O último entrou em vigor em 2016, a fim de esclarecer alguns aspectos que suscitaram dúvidas, facilitar a aplicação adequada da lei e contribuir para a simplificação de procedimentos. O órgão estatal criado para garantir o cumprimento da Lei é a Agência de Proteção de Dados dos Habitantes (Prodhab), anexada ao Ministério da Justiça e Paz.
No Uruguai o direito à proteção de dados está previsto em lei desde 2008. Mas este ano uma nova lei de responsabilidade entrou em vigor, contendo quatro artigos que incorporam modificações importantes aos regulamentos no Uruguai. Estas mudanças foram incorporadas na tentativa alinhar a legislação nacional ao novos desenvolvimentos no assunto.
O país não conta até o momento com uma lei específica sobre o tema, mas está sujeita a desenvolvimento sob uma reserva legislativa. Em recente intervenção do atual Ministro da Justiça no programa Hacemos Cuba, a criação da Lei de Proteção de Dados foi divulgada entre as prioridades do Estado, sendo de responsabilidade do próprio Ministério da Justiça coordenar a equipe editorial do órgão regulador e submeter a proposta à Assembléia Nacional do Poder Popular, o mais alto órgão legislativo do país.
A Guatemala não possui regulamentos de proteção de dados, a Lei de Livre Acesso à Informação Pública é atualmente a única que faz referência a dados pessoais e dados sensíveis no país. Em 2009 a Iniciativa 4090 foi apresentada no Congresso, na qual prevê a aprovação de uma Lei de Proteção de Dados Pessoais. Ela já possui parecer favorável da Comissão de Economia e Comércio Exterior, mas desde 2010 se encontra pendente de aprovação final da Sessão Plenária.
O país não possui e não foram encontradas quaisquer informações a respeito de uma lei referente a dados pessoais de cidadãos haitianos.
O Congresso hondurenho se encontra no último e terceiro debate da Lei sobre Proteção de Dados Pessoais no país. Em abril do ano passado, foi apontado que o Congresso retomaria a votação em poucas semanas. No entanto, apesar de alguns esforços, a lei ainda se encontra pendente. Até agora, sete de seus noventa e seis artigos foram aprovados. No entanto, segundo a AcessNow, o projeto de lei contém graves problemas conceituais que podem levar à arbitrariedade.
A Lei de Proteção de Dados Pessoais da Nicarágua foi aprovada em 2012, depois de passar quatro anos no processo de formação na Assembléia Nacional. Antes dela o judiciário do país não possuía ferramentas diante de comportamentos ou práticas antiéticas nos negócios. Desde então, a lei impõe às pessoas físicas e jurídicas que coletam e armazenam dados pessoais no setor público ou privado uma série de obrigações e procedimentos para garantir seu uso e proteção adequados.
Sua Lei de Proteção de Dados Pessoais passou a existir em 2016, mas, no mesmo ano, o país foi protagonista em um dos memoráveis vazamentos de documentos confidenciais da história, o que ficou conhecido como Panamá Papers. Cerca de 2,6 terabytes de dados contendo informações bancárias de políticos importantes vazaram de uma empresa que prestava consultoria e firma de advocacia no país, mostrando que ainda havia muito o que melhorar na legislação do território. Em março deste ano, a Assembleia Nacional da República do Panamá aprovou uma nova Lei de Proteção de Dados de caráter pessoal.
O Paraguai ainda não possui uma ferramenta jurídica específica que regule dados pessoais dos cidadãos, mas este ano um projeto de lei passou a tramitar no senado. Diversas campanhas de organizações da sociedade civil paraguaias estão potencializando o debate no país, como é o caso da TEDIC, que vem realizando investigações, promovendo encontros e apresentado posições para tornar visível a importância do projeto ser abordado sob uma perspectiva integral no país.
O país possui uma lei orgânica sobre proteção de dados pessoais que foi promulgada pelo Poder Executivo em 2013. Seu objetivo principal visa “a proteção integral de dados pessoais com base em arquivos, registros públicos, bancos de dados ou outros meios técnicos de processamento de dados destinados a fornecer relatórios, públicos ou privados, além de garantir que o direito à honra e à privacidade das pessoas não seja ferido.” É uma lei considerada moderna, visto que também estabelece regras especiais para o tratamento de dados sensíveis, como aos de menores de idade ou a respeito de questões de saúde.
O país não possui lei específica que resguarde os dados pessoais dos seus cidadãos e casos preocupantes de violação de direito ao anonimato são conhecidos no país, como a memorável Lista Tascón. Em 2003, o deputado Luis Tascón divulgou na Internet as informações completas com nome, sobrenome, número de identificação e outras informações de mais de 2,4 milhões de pessoas que solicitaram um referendo contra o então presidente da República, Hugo Chávez. Desde então, diversos venezuelanos denunciaram nos últimos anos que tiveram contratos ou empregos no governo recusados por seus nomes constarem nesta lista.